Создание группы с назначением роли в Microsoft Entra ID

С помощью идентификатора Microsoft Entra ID P1 или P2 можно создать группы с возможностью назначения ролей и назначить роли Microsoft Entra этим группам. Вы создаете новую группу с возможностью назначения ролей, задав роли Microsoft Entra, можно назначить группе "Да" или установив isAssignableToRole для свойства значение .true Группа, назначаемая ролью, не может быть частью типа динамической группы членства. В Microsoft Entra один клиент может иметь не более 500 групп с возможностью назначения ролей.

В этой статье описывается, как создать группу с возможностью назначения ролей с помощью Центра администрирования Microsoft Entra, PowerShell или API Microsoft Graph.

Необходимые компоненты

• Лицензия Microsoft Entra ID P1 или P2
• Администратор привилегированных ролей
• Модуль Microsoft.Graph при использовании Microsoft Graph PowerShell
• Модуль Azure AD PowerShell при использовании Azure AD PowerShell
• Согласие администратора при использовании песочницы Graph для API Microsoft Graph.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Центр администрирования Microsoft Entra

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к группам>удостоверений>Все группы.

3. Выберите Создать группу.

4. На странице "Новая группа" укажите тип группы, имя и описание.

5. Установка ролей Microsoft Entra может быть назначена группе "Да".

   Этот параметр отображается администраторам привилегированных ролей, так как эта роль может задать этот параметр.

   

6. Выберите участников и владельцев для группы. Вы также можете назначить роли группе, но на этом шаге назначение роли не требуется.

7. Нажмите кнопку создания.

   Отобразится следующее сообщение:

   Создание группы, к которой могут быть назначены роли Microsoft Entra, является параметром, который нельзя изменить позже. Вы уверены, что хотите добавить эту возможность?

   

8. Выберите Да.

   Группа создается с любыми ролями, которые вы ей назначаете.

PowerShell

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator. This role can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

API Microsoft Graph

Используйте API создания группы для создания группы, назначаемой ролью.

В этом примере показано, как создать группу, назначаемую ролью безопасности.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

В этом примере показано, как создать группу, назначаемую ролем Microsoft 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Для группы этого типа параметр isPublic всегда будет иметь значение false и isSecurityEnabled всегда будет иметь значение true.

Следующие шаги

• Назначение ролей Microsoft Entra группам
• Использование групп Microsoft Entra для управления назначениями ролей
• Устранение неполадок ролей Microsoft Entra, назначенных группам